2025年9月12日Ravie Lakshmanan脆弱性 / モバイルセキュリティ
Samsungは、ゼロデイ攻撃で悪用されたとされるセキュリティ脆弱性の修正を含む、Android向けの月例セキュリティアップデートをリリースしました。
この脆弱性CVE-2025-21043(CVSSスコア: 8.8)は、任意のコード実行を引き起こす可能性のあるアウトオブバウンズ書き込みに関するものです。
「SMR Sep-2025 Release 1より前のlibimagecodec.quram.soにおけるアウトオブバウンズ書き込みにより、リモート攻撃者が任意のコードを実行できる可能性があります」とSamsungはアドバイザリで述べています。「パッチは不適切な実装を修正しました。」
Google Project Zeroの2020年のレポートによると、libimagecodec.quram.soはQuramsoftによって開発されたクローズドソースの画像解析ライブラリで、さまざまな画像フォーマットへの対応を実装しています。
韓国の大手電子機器メーカーによれば、この重大な問題はAndroidバージョン13、14、15、16に影響します。脆弱性は2025年8月13日に同社へ非公開で報告されました。
Samsungは、この脆弱性がどのように攻撃で悪用されているか、また誰が関与しているかについての詳細は共有していません。しかし、「この問題に対するエクスプロイトが実際に存在していた」と認めています。
この動きは、GoogleがAndroidの2つのセキュリティ欠陥(CVE-2025-38352およびCVE-2025-48543)を解決したと発表した直後に発生しました。これらは標的型攻撃で悪用されていたとされています。
翻訳元: https://thehackernews.com/2025/09/samsung-fixes-critical-zero-day-cve.html